Kdy musím uzavřít DPA?

DPA musíte uzavřít pokaždé, když svěřujete externímu subjektu zpracování osobních údajů, jejichž jste správcem. Typické případy v České republice: externí účetní firma, mzdová agentura, cloud (AWS, Azure, Google Cloud, Hetzner), e-mailing platforma (Mailchimp, SendGrid), CRM (HubSpot, Salesforce), platební brána (Stripe, GoPay, ComGate), doručovatel (Česká pošta, Zásilkovna, PPL), call centrum, marketingová agentura, IT outsourcing, host webových stránek. Pokud druhá strana zpracovává údaje vašich klientů, zaměstnanců nebo uživatelů "na váš pokyn", DPA je povinná podle čl. 28 odst. 3 GDPR. Bez DPA hrozí v ČR pokuta od ÚOOÚ až 10 milionů EUR nebo 2 % celosvětového obratu.

Je DPA potřeba i pro malé firmy?

Ano. GDPR ani zákon č. 110/2019 Sb. nerozlišují podle velikosti správce — povinnost uzavřít DPA platí stejně pro velkou banku, středně velkou výrobní firmu i pro malého e-shopaře, blogera, ordinaci jediného praktického lékaře nebo OSVČ s jedním externím účetním. ÚOOÚ v České republice kontroluje malé i velké subjekty a v poslední době přísně sankcionuje zejména e-shopy bez DPA s dodavateli logistiky a marketingu. Důležité: i pokud používáte populární SaaS produkty (Mailchimp, HubSpot, Stripe atd.), poskytovatel obvykle nabízí standardní DPA k podpisu na svých webových stránkách — povinnost ji aktivně uzavřít a archivovat však leží na vás jako správci.

Co když dodavatel nechce podepsat DPA?

V takovém případě nesmíte v České republice ani v EU s daným dodavatelem spolupracovat — pokud by jako zpracovatel měl zacházet s osobními údaji vašich klientů, zaměstnanců nebo uživatelů. Toto je striktní pravidlo čl. 28 odst. 3 GDPR. Pokud byste pokračovali bez DPA, dopustili byste se porušení GDPR i vy (jako správce) a ÚOOÚ může uložit pokutu oběma stranám. Praktická rada: většina renomovaných dodavatelů SaaS (Microsoft, Google, AWS, HubSpot, Stripe, Mailchimp atd.) má vlastní standardní DPA — podívejte se na sekci "Legal", "Trust", "Privacy" či "DPA" na jejich webu. Pokud konkrétní český dodavatel DPA odmítá, najděte alternativního zpracovatele — porušení GDPR by mohlo poškodit vaši firmu mnohem více než změna dodavatele.

Musí být DPA písemná?

Ano. Čl. 28 odst. 9 GDPR výslovně vyžaduje, aby DPA byla "v písemné formě, včetně elektronické formy". Toto je jedno z mála ujednání ochrany osobních údajů, kde GDPR nepřipouští volnou formu — písemnost je podmínkou platnosti. V České republice se akceptuje papírová smlouva s vlastnoručními podpisy, smlouva s notářsky ověřenými podpisy (legalizace u Czech POINT nebo notáře), smlouva podepsaná kvalifikovaným elektronickým podpisem podle nařízení eIDAS i smlouva podepsaná prostým elektronickým podpisem (např. PDF s typovaným podpisem) — i poslední forma se v ČR považuje za "elektronickou písemnou formu" splňující čl. 28 odst. 9 GDPR. Doxuno vzor lze použít se všemi uvedenými formami podpisu.

Co se stane, když zpracovatel poruší GDPR?

Odpovědnost je v České republice vícevrstvá. (1) Vůči subjektům údajů: oba — správce i zpracovatel — mohou být žalováni o náhradu škody podle čl. 82 GDPR; před českým soudem se odpovědnost dělí podle míry zavinění, ale subjekt může žalovat kteroukoli stranu o celou škodu. (2) Vůči ÚOOÚ: úřad může uložit pokutu jak správci, tak zpracovateli (čl. 83 GDPR). (3) Vůči správci: zpracovatel odpovídá za škodu vzniklou porušením DPA i za škodu způsobenou nedodržením pokynů správce nebo za jednání sub-zpracovatele (čl. 28 odst. 4 GDPR). Praktická rada: vždy do DPA zařaďte ujednání o smluvní pokutě podle § 2048 OZ a regresní nárok zpracovatele vůči sub-zpracovateli pro maximální vymahatelnost v ČR.

Lze DPA podepsat elektronicky?

Ano. V České republice se elektronické podpisy řídí nařízením EU 910/2014 (eIDAS) a zákonem č. 297/2016 Sb. o službách vytvářejících důvěru pro elektronické transakce. eIDAS rozeznává tři úrovně: prostý elektronický podpis (postačí pro DPA mezi obchodními partnery — GDPR pouze požaduje "elektronickou písemnou formu"), zaručený elektronický podpis a kvalifikovaný elektronický podpis (rovnocenný vlastnoručnímu podle čl. 25 odst. 2 eIDAS). Pro maximální právní jistotu při sporu před českými soudy doporučujeme použít kvalifikovaný elektronický podpis s certifikátem od kvalifikovaného poskytovatele zapsaného v seznamu Ministerstva vnitra ČR (I.CA, eIdentity, PostSignum). Často se v ČR používají i platformy DocuSign nebo Adobe Sign s pokročilými prvky autentizace.

Co je DPIA a kdy musím uzavřít DPA?

DPIA (Data Protection Impact Assessment, posouzení dopadu na ochranu osobních údajů) je samostatná analýza vyžadovaná čl. 35 GDPR u zpracování s vysokým rizikem pro práva a svobody subjektů — nejde o totéž co DPA. ÚOOÚ v České republice zveřejnil seznam činností vyžadujících DPIA (rozhodnutí ÚOOÚ č. 2/2018) — patří mezi ně biometrická identifikace, profilování s automatizovaným rozhodováním, sledování zaměstnanců, zpracování zvláštních kategorií ve velkém měřítku, kombinace různých zdrojů dat. Pokud DPIA odhalí vysoké riziko, které nelze zmírnit, je nutná předchozí konzultace s ÚOOÚ podle čl. 36 GDPR. DPA (samostatná smlouva mezi správcem a zpracovatelem) je vždy povinná — DPIA je vyžadována jen u rizikových zpracování. Oba dokumenty se však často zpracovávají současně při zavádění nového dodavatele v České republice.

GDPR & Ochrana osobních údajůCZ

Vzor smlouvy o zpracování osobních údajů (DPA) zdarma — Česká republika

Smlouva o zpracování osobních údajů (Data Processing Agreement, DPA) sestavená podle čl. 28 GDPR a zákona č. 110/2019 Sb. — povinný dokument pro každého správce, který svěřuje zpracování osobních údajů externímu zpracovateli v České republice. Vyplňte údaje správce a zpracovatele, určete předmět zpracování, doplňte režim sub-zpracovatelů a stáhněte si profesionální PDF připravené k podpisu během několika minut.

Create Your Smlouva o Zpracování Osobních Údajů (DPA)

Free to useInstant PDFNo account required

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Data Processing Agreement (DPA) — Čl. 28 GDPR

Datum uzavření: 15. března 2026

Místo: Praha

SPRÁVCE

TechGarden s.r.o.

IČO: 12345678 · Vinohradská 100, 130 00 Praha 3 · zastoupená: Ing. Tomáš Procházka, jednatel · e-mail: gdpr@techgarden.cz

ZPRACOVATEL

CloudOps Solutions s.r.o.

IČO: 87654321 · Hlavní 45, 602 00 Brno · zastoupená: Mgr. Hana Veselá, prokuristka · e-mail: dpo@cloudops.cz

Dne 15. března 2026 v Praha uzavřely výše uvedené smluvní strany (dále společně jen „Smluvní strany") tuto smlouvu o zpracování osobních údajů (dále jen „DPA" nebo „Smlouva") podle čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR") a zákona č. 110/2019 Sb., o zpracování osobních údajů.

Tato Smlouva navazuje na hlavní smluvní vztah Smlouva o poskytování cloudových služeb č. SLA-2026-001 ze dne 15. března 2026 a upravuje práva a povinnosti Smluvních stran při zpracování osobních údajů, k němuž dochází při poskytování služeb Zpracovatelem Správci.

PŘEDMĚT A POVAHA ZPRACOVÁNÍ

Smluvní strany se dohodly na následujícím rozsahu zpracování osobních údajů (čl. 28 odst. 3 GDPR — povinný obsah):

Předmět zpracování	Hostování e-shopu Správce na cloudové infrastruktuře Zpracovatele, včetně databáze zákazníků a objednávek
Účel zpracování	Poskytování cloudového hostingu a souvisejících služeb (zálohování, monitoring, technická podpora) Správci pro provoz jeho e-shopu
Povaha zpracování (operace)	Ukládání, zálohování, kopírování, přenos, technický monitoring, řízení přístupu — bez analýzy obsahu
Doba zpracování	Po dobu trvání hlavní smlouvy + 30 dnů pro vrácení/výmaz po jejím ukončení
Kategorie osobních údajů	· Identifikační údaje zákazníků e-shopu (jméno, příjmení, IČO/DIČ) · Kontaktní údaje (e-mail, telefon, fakturační/doručovací adresa) · Údaje o objednávkách (čísla objednávek, položky, ceny — bez kompletních platebních údajů) · Logy přístupu (IP adresa, časové razítko)
Kategorie subjektů údajů	· Zákazníci Správce (B2C i B2B) · Zaměstnanci Správce (admin přístup) · Návštěvníci webu (anonymizované cookies)

POVINNOSTI ZPRACOVATELE (ČL. 28 ODST. 3 GDPR)

Zpracovatel se zavazuje:
• (a) zpracovávat osobní údaje pouze na základě doložených pokynů Správce — včetně mezinárodních přenosů — ledaže by mu zpracování ukládalo právo EU nebo členského státu (čl. 28 odst. 3 písm. a) GDPR);
• (b) zajistit povinnost mlčenlivosti svých zaměstnanců a všech osob s přístupem k osobním údajům — písemné závazky mlčenlivosti (čl. 28 odst. 3 písm. b) GDPR);
• (c) přijmout vhodná technická a organizační opatření k zajištění úrovně zabezpečení dle čl. 32 GDPR (viz čl. 4 této Smlouvy);
• (d) dodržet podmínky pro zapojení sub-zpracovatelů dle čl. 28 odst. 2 a 4 GDPR (viz čl. 5 této Smlouvy);
• (e) pomáhat Správci při výkonu práv subjektů údajů (čl. 12–22 GDPR) — vhodnými technickými a organizačními opatřeními;
• (f) pomáhat Správci se splněním povinností dle čl. 32–36 GDPR (zabezpečení, ohlášení porušení, posouzení vlivu, předchozí konzultace);
• (g) po skončení poskytování služeb osobní údaje na výběr Správce vrátit nebo vymazat (čl. 28 odst. 3 písm. g) GDPR — viz čl. 6 této Smlouvy);
• (h) poskytnout Správci všechny informace nezbytné k prokázání plnění povinností dle čl. 28 GDPR a umožnit a přispět k auditům, včetně inspekcí (čl. 28 odst. 3 písm. h) GDPR — viz čl. 7 této Smlouvy).

Oznamovací povinnost: Pokud má Zpracovatel za to, že některý pokyn Správce porušuje GDPR nebo jiné právní předpisy, neprodleně o tom Správce informuje (čl. 28 odst. 3 druhá věta GDPR).

ZABEZPEČENÍ ZPRACOVÁNÍ (ČL. 32 GDPR)

Zpracovatel přijal a udržuje vhodná technická a organizační opatření k zajištění úrovně zabezpečení odpovídající riziku, zejména:
• pseudonymizaci a šifrování osobních údajů (čl. 32 odst. 1 písm. a) GDPR) — TLS 1.2+ pro přenos, AES-256 pro klid;
• schopnost zajistit trvalou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování (písm. b);
• schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů (písm. c) — záložní kopie, plán kontinuity (BCP, DRP);
• pravidelné testování, posuzování a hodnocení účinnosti přijatých opatření (písm. d) — penetration testing, audit, ISO 27001;
• řízení přístupových oprávnění dle principu minimálních oprávnění (need-to-know, RBAC);
• fyzické zabezpečení serverovny / datového centra (kontrola přístupu, monitoring, požární ochrana).

Zpracovatel zaručuje, že se sjednaná opatření udržují aktuální dle stavu techniky (state of the art). Detaily zabezpečení jsou specifikovány v Příloze A — Bezpečnostní opatření, která je nedílnou součástí této Smlouvy.

SUB-ZPRACOVATELÉ (ČL. 28 ODST. 2 A 4 GDPR)

Zpracovatel je oprávněn zapojit do zpracování dalšího zpracovatele (sub-zpracovatele) pouze obecným předchozím písemným souhlasem (čl. 28 odst. 2 první věta GDPR) — Zpracovatel oznamuje změnu se 30denním předstihem.

Aktuální seznam schválených sub-zpracovatelů:
· Amazon Web Services EMEA SARL (AWS Frankfurt — EU region) — hosting, SCCs nepoužity (zpracování v EU)
· Datadog France (Paříž) — monitoring a analýza výkonu
· SendGrid (Twilio) — transactional e-mail (SCCs + Data Privacy Framework)
· GitHub (Microsoft) — verzování kódu (SCCs)

Smluvní řetězec: Zpracovatel uloží sub-zpracovateli stejné povinnosti ohledně ochrany údajů, jaké jsou stanoveny v této Smlouvě, zejména pokud jde o zabezpečení (čl. 32 GDPR), spolupráci se Správcem a omezení zpracování pouze na pokyny Správce (čl. 28 odst. 4 GDPR — back-to-back smlouva).

Odpovědnost: Pokud sub-zpracovatel nesplní své povinnosti, Zpracovatel zůstává Správci plně odpovědný za splnění povinností tohoto sub-zpracovatele (čl. 28 odst. 4 druhá věta GDPR).

VRÁCENÍ A VÝMAZ OSOBNÍCH ÚDAJŮ (ČL. 28 ODST. 3 G GDPR)

Po skončení poskytování služeb dle hlavní smlouvy se Zpracovatel zavazuje údaje na výběr Správce buď vrátit, nebo vymazat, a to nejpozději do 30 dnů ode dne ukončení Smlouvy, pokud Smluvní strany nedohodnou jiný termín.

Zpracovatel rovněž vymaže veškeré existující kopie osobních údajů — včetně záložních kopií (backup) — způsobem znemožňujícím jejich obnovu, ledaže právo EU nebo členského státu vyžaduje uložení osobních údajů (např. zákonné archivační povinnosti).

Zpracovatel písemně potvrdí Správci splnění této povinnosti (certifikát o smazání), ve kterém specifikuje rozsah, datum a způsob smazání. Smluvní strany se mohou dohodnout na auditu provedení smazání.

AUDITY A KONTROLA (ČL. 28 ODST. 3 H GDPR)

Zpracovatel poskytne Správci všechny informace nezbytné k prokázání splnění povinností dle čl. 28 GDPR a umožní audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem zmocněným Správcem.

Frekvence: Jednou za kalendářní rok, mimořádně při podezření na porušení

Postup: Audity se provádějí s předchozím písemným oznámením 14 dnů, v běžné pracovní době Zpracovatele a způsobem, který nezpůsobí podstatné narušení provozu.

Zpracovatel se zavazuje:
• poskytnout přístup k příslušným zpracovatelským evidencím (čl. 30 GDPR — záznamy o činnostech zpracování);
• umožnit fyzickou inspekci míst zpracování (kanceláře, datová centra);
• zpřístupnit certifikace a osvědčení (ISO 27001, SOC 2 apod.) dokládající dodržování bezpečnostních standardů;
• spolupracovat s ÚOOÚ a jinými dozorovými úřady při jejich kontrolách (čl. 31 GDPR).

OZNÁMENÍ O PORUŠENÍ ZABEZPEČENÍ (ČL. 33 GDPR)

Zpracovatel je povinen oznámit Správci porušení zabezpečení osobních údajů bez zbytečného odkladu (čl. 33 odst. 2 GDPR), nejpozději do 24 hodin ode dne, kdy se o něm dozvěděl.

Oznámení musí obsahovat:
• popis povahy porušení — kategorie a přibližný počet dotčených subjektů a záznamů;
• jméno a kontakt osoby (DPO Zpracovatele) odpovědné za další informace;
• popis pravděpodobných důsledků porušení;
• popis přijatých nebo navrhovaných opatření k vyřešení porušení a ke zmírnění následků.

Toto oznámení Zpracovatele není ohlášením podle čl. 33 odst. 1 GDPR — to provádí Správce vůči ÚOOÚ do 72 hodin (Zpracovatel pouze poskytne Správci podklady). Zpracovatel rovněž poskytne pomoc při informování dotčených subjektů údajů (čl. 34 GDPR).

MEZINÁRODNÍ PŘENOSY (ČL. 44–49 GDPR) (EXPERT)

Zpracovatel je oprávněn předávat osobní údaje do třetích zemí mimo Evropský hospodářský prostor (EHP) pouze za podmínky uplatnění některé z následujících záruk dle čl. 44–49 GDPR:

· USA — SendGrid (Twilio): Data Privacy Framework + SCCs (modul 1 controller-to-processor)
· USA — GitHub (Microsoft): Data Privacy Framework + SCCs
· Doplňková opatření: end-to-end šifrování citlivých dat, pseudonymizace, omezený přístup

Doplňková opatření: Při přenosu na základě SCCs Zpracovatel posoudí (Transfer Impact Assessment — TIA) právní řád cílové země a v případě potřeby uplatní doplňková opatření (šifrování end-to-end, pseudonymizace, smluvní doplňky) dle Doporučení EDPB 01/2020.

Zpracovatel poskytne Správci kopie všech smluvních záruk a TIA na vyžádání.

POSOUZENÍ VLIVU A PŘEDCHOZÍ KONZULTACE (EXPERT)

Zpracovatel se zavazuje poskytovat Správci pomoc při plnění povinností dle čl. 35 GDPR (posouzení vlivu na ochranu osobních údajů — DPIA) a čl. 36 GDPR (předchozí konzultace s ÚOOÚ), zejména:
• poskytne informace nezbytné pro vyhodnocení rizik zpracování;
• umožní přístup k technické dokumentaci, security policies a hodnocení rizik;
• navrhne doplňková opatření ke zmírnění reziduálních rizik;
• spolupráce s DPO Správce při zpracování DPIA.

Posouzení vlivu před změnami: Před zavedením podstatných změn ve zpracování (nové technologie, nové kategorie údajů, rozšíření rozsahu) Zpracovatel písemně informuje Správce s předstihem alespoň 30 dnů, aby Správce mohl provést případné DPIA.

Pomoc s žádostmi subjektů údajů (čl. 12–22 GDPR): Zpracovatel poskytne Správci technické a organizační prostředky (export údajů, vyhledání, výmaz, omezení) do 5 pracovních dnů od žádosti, aby Správce dodržel zákonnou lhůtu 1 měsíc dle čl. 12 odst. 3 GDPR.

10.

SMLUVNÍ POKUTA A NÁHRADA ŠKODY (EXPERT)

Smluvní pokuta: Pro případ porušení kterékoli z povinností uvedených v této Smlouvě se sjednává smluvní pokuta ve výši 500 000 CZK za každé jednotlivé porušení (§ 2048 zák. č. 89/2012 Sb., občanský zákoník — dále „OZ"). Smluvní pokuta je splatná i bez prokázání vzniku škody (§ 2050 OZ).

Náhrada škody (čl. 82 GDPR + § 2913 OZ):
• Zpracovatel odpovídá Správci za škodu způsobenou porušením této Smlouvy nebo GDPR (čl. 82 odst. 2 GDPR — přímá odpovědnost zpracovatele subjektu údajů a regresní vůči Správci);
• Zpracovatel zejména odpovídá za refundaci pokut uložených ÚOOÚ Správci, pokud bylo porušení způsobeno zaviněním Zpracovatele;
• Indemnification: Zpracovatel uhradí Správci veškeré pokuty, soudní poplatky, odměny advokátů a jiné náklady spojené s nároky subjektů údajů nebo orgánů dozoru, jejichž základem je porušení této Smlouvy zaviněné Zpracovatelem.

Solidární odpovědnost: V případě, že na škodě se podílel jak Správce, tak Zpracovatel, mají vůči subjektu údajů solidární odpovědnost (čl. 82 odst. 4 GDPR), s následným regresním nárokem dle podílu na vzniku škody (čl. 82 odst. 5 GDPR).

11.

ZÁVĚREČNÁ USTANOVENÍ

(a) Doba trvání: Tato Smlouva nabývá účinnosti dnem podpisu obou Smluvních stran a trvá po dobu trvání hlavní smlouvy a následných povinností (vrácení/výmaz, audit).
(b) Změny: Veškeré změny a doplňky vyžadují písemnou formu (§ 1906 OZ).
(c) Přílohy: Nedílnou součástí této Smlouvy jsou: Příloha A — Bezpečnostní opatření, Příloha B — Seznam sub-zpracovatelů, případně Příloha C — Standardní smluvní doložky pro mezinárodní přenosy.
(d) Soulad s GDPR: V případě rozporu mezi touto Smlouvou a hlavní smlouvou má přednost tato Smlouva, pokud jde o zpracování osobních údajů. V případě rozporu této Smlouvy s GDPR má přednost GDPR.
(e) Rozhodné právo: Smlouva se řídí právem České republiky a přímo aplikovatelnými předpisy EU (zejména GDPR).
(f) Příslušnost soudu: Veškeré spory řeší obecný soud dle sídla Správce (§ 89a OSŘ — dohodnutá příslušnost).
(g) Vyhotovení: Smlouva je vyhotovena ve dvou stejnopisech, po jednom pro každou Smluvní stranu.
(h) Částečná neplatnost: Neplatnost jednotlivého ustanovení nemá vliv na platnost Smlouvy jako celku (§ 576 OZ).

NA DŮKAZ TOHO, smluvní strany podepsaly tuto smlouvu ke dni účinnosti uvedenému výše.

SPRÁVCE

TechGarden s.r.o.

Datum: ____________________

ZPRACOVATEL

CloudOps Solutions s.r.o.

Datum: ____________________

Co je smlouva o zpracování osobních údajů (DPA)?

Smlouva o zpracování osobních údajů (DPA — Data Processing Agreement) je závazná písemná smlouva mezi správcem osobních údajů a zpracovatelem, která vymezuje pravidla zpracování osobních údajů na účet správce. Povinnost takovou smlouvu uzavřít zakotvuje čl. 28 odst. 3 Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR) — bez DPA nesmí v České republice ani nikde jinde v EU správce svěřit zpracování osobních údajů externímu zpracovateli. Porušení této povinnosti je sankcionováno Úřadem pro ochranu osobních údajů (ÚOOÚ) — sídlo Pplk. Sochora 27, 170 00 Praha 7 — pokutami až do výše 10 milionů EUR nebo 2 % celosvětového ročního obratu (čl. 83 odst. 4 GDPR).

V praxi se DPA uzavírá v České republice s velkým počtem dodavatelů — externí účetní firma, mzdová a personální agentura, IT poskytovatel, cloud (typicky AWS, Microsoft Azure, Google Cloud, Hetzner), e-mailingová platforma (Mailchimp, SendGrid), CRM (HubSpot, Salesforce), platební brána (Stripe, GoPay, ComGate), provozovatel call centra, kurýrní a logistická služba (Česká pošta, Zásilkovna, PPL), bezpečnostní agentura, správce sociálních sítí, marketingové agentury i právní kanceláře v některých konfiguracích zpracování. Klíčové je, že kdykoli "někdo zpracovává údaje vašich klientů, zaměstnanců nebo uživatelů na váš pokyn", musí být uzavřena DPA.

V České republice je DPA upravena současně dvěma předpisy: přímo aplikovatelným GDPR (čl. 4 odst. 8 definice zpracovatele, čl. 28 obsah smlouvy, čl. 32 bezpečnost zpracování, čl. 33 oznámení porušení) a národním zákonem č. 110/2019 Sb., o zpracování osobních údajů, který implementuje GDPR a stanoví specifika české jurisdikce — zejména postavení ÚOOÚ jako dozorového úřadu. Vzor DPA Doxuno odpovídá všem osmi povinným ujednáním podle čl. 28 odst. 3 písm. a–h GDPR a obsahuje doplňkové standardy pro mezinárodní přenosy (Standardní smluvní doložky 2021/914/EU) a pro vyšší úroveň zabezpečení podle čl. 32 GDPR uplatňovanou českými ÚOOÚ kontrolami.

Co tento vzor obsahuje

Vzor DPA Doxuno obsahuje všech osm povinných ujednání čl. 28 odst. 3 GDPR a doplňuje je o Expert ujednání pro náročné dodavatele, mezinárodní přenosy do třetích zemí a velké objemy osobních údajů zpracovávaných v České republice.

Identifikace správce a zpracovatele

Plné údaje obou stran — IČO, sídlo, kontaktní DPO

Předmět, povaha, účel a doba zpracování

Povinné prvky podle čl. 28 odst. 3 GDPR

Kategorie osobních údajů

Identifikační, kontaktní, lokalizační, biometrické apod.

Kategorie subjektů údajů

Klienti, zaměstnanci, uchazeči, návštěvníci webu

Pokyny správce a mlčenlivost

Čl. 28 odst. 3 písm. a) a b) GDPR

Bezpečnost zpracování dle čl. 32 GDPR

Šifrování, pseudonymizace, zálohy, řízení přístupu

Sub-zpracovatelé — souhlas správce

Obecný / specifický souhlas dle čl. 28 odst. 2 GDPR

Pomoc s právy subjektů údajů

Čl. 15–22 GDPR — přístup, oprava, výmaz, přenositelnost

Oznámení porušení do 72 hodin

Čl. 33 GDPR — povinnost informovat správce

Mezinárodní přenosy a SCCs

Čl. 44–49 GDPR a doložky 2021/914/EU

Audit a kontrola zpracovatele

Čl. 28 odst. 3 písm. h) GDPR — frekvence, postup

Vrácení nebo výmaz po skončení

Čl. 28 odst. 3 písm. g) GDPR — volba správce

Jak vytvořit DPA

Sestavení DPA vyžaduje pochopení role každé strany ve zpracování osobních údajů. Generátor Doxuno vás provede jednotlivými oddíly v souladu s čl. 28 GDPR a během několika minut vám vystaví profesionální PDF platné v České republice i v celé Evropské unii.

1
Identifikujte role — kdo je správce a kdo zpracovatel
Správce (čl. 4 odst. 7 GDPR) je ten, kdo určuje účely a prostředky zpracování — typicky vy jako provozovatel webu, e-shopu, ordinace nebo zaměstnavatel v České republice. Zpracovatel (čl. 4 odst. 8 GDPR) zpracovává osobní údaje na účet správce a podle jeho pokynů — typicky externí dodavatel (účetní, IT, cloud, marketingová agentura). Pokud druhá strana sama rozhoduje o tom, jaké údaje sbírá a k čemu je používá, nejde o zpracovatele, ale o samostatného správce nebo společné správce (čl. 26 GDPR) — v takovém případě je třeba uzavřít odlišnou smlouvu o společném správcovství, nikoli DPA.
2
Vyplňte údaje obou smluvních stran
U právnických osob v České republice uveďte úplnou obchodní firmu z obchodního rejstříku, IČO, sídlo a osobu jednatele. U OSVČ doplňte IČO. Pokud je správce nebo zpracovatel povinen jmenovat pověřence pro ochranu osobních údajů (DPO) podle čl. 37 GDPR — typicky orgány veřejné moci, organizace zpracovávající velké objemy citlivých údajů (zdravotnická zařízení, banky), nebo systematicky monitorující velké počty subjektů — uveďte jeho jméno a kontaktní e-mail. ÚOOÚ v ČR vyžaduje, aby DPO byl skutečně dosažitelný subjektům údajů.
3
Definujte předmět, povahu, účel a dobu zpracování
Čl. 28 odst. 3 první věta GDPR vyžaduje, aby DPA obsahovala čtyři klíčové prvky: (1) předmět zpracování — co konkrétně zpracovatel provádí (např. "vedení účetnictví správce", "rozesílání marketingových e-mailů", "hostování webových stránek"), (2) povahu — jaké operace (sběr, ukládání, mazání, analýza), (3) účel — proč se zpracovává (plnění smlouvy, marketing, plnění právní povinnosti) a (4) dobu — jak dlouho zpracování trvá (po dobu trvání hlavní smlouvy a jeden měsíc po ukončení pro účely vrácení/výmazu). Tyto údaje jsou klíčové pro audit ÚOOÚ v České republice.
4
Vyřešte otázku sub-zpracovatelů a auditu
Čl. 28 odst. 2 GDPR vyžaduje souhlas správce s každým sub-zpracovatelem (např. cloud, e-mailingový provider, kurýrní služba) — souhlas může být obecný (zpracovatel oznamuje změny předem se 30denní lhůtou) nebo specifický (každý sub-zpracovatel vyžaduje samostatný souhlas). Sub-zpracovatel musí mít stejné povinnosti jako zpracovatel (back-to-back DPA). Doplňte rovněž režim auditu podle čl. 28 odst. 3 písm. h) GDPR — frekvence (zpravidla jednou ročně), oznamovací lhůta (typicky 14 dnů předem), nákladový režim (správce hradí). V České republice ÚOOÚ klade na audit zvláštní důraz u cloudových služeb provozovaných mimo EU/EHP.
5
Vyřešte mezinárodní přenosy a podepište
Pokud zpracovatel nebo některý sub-zpracovatel zpracovává údaje mimo Evropský hospodářský prostor (USA, UK po Brexitu, Indie, Filipíny apod.), uplatní se čl. 44–49 GDPR. V současnosti (po rozsudku Schrems II ze SDEU) je nejčastějším nástrojem Standardní smluvní doložka 2021/914/EU (SCCs) doplněná tzv. Transfer Impact Assessment (TIA). Doxuno vzor obsahuje odkaz na SCCs a doplňuje povinná dodatečná opatření (technická a organizační — typicky šifrování v klidu i v přenosu). Po vyplnění získáte profesionální PDF připravené k podpisu oběma smluvními stranami; pro zvýšení důkazní síly lze podpisy v ČR ověřit u notáře nebo Czech POINT, případně použít kvalifikovaný elektronický podpis dle nařízení eIDAS.

Právní úvahy v České republice

DPA je dokument, kde jakákoli mezera nebo nepřesnost může vést k vysokým pokutám od ÚOOÚ a k občanskoprávní odpovědnosti vůči subjektům údajů (čl. 82 GDPR). Před podpisem zvažte následující aspekty českého a evropského práva ochrany osobních údajů.

Tento vzor je poskytován pouze pro informační účely a nepředstavuje právní poradenství. U mezinárodních přenosů, u zpracování zvláštních kategorií osobních údajů (čl. 9 GDPR — zdravotní stav, biometrie, politické názory), u zpracování ve velkém měřítku nebo v případě pochybností o aplikaci GDPR na váš případ se obraťte na advokáta zapsaného v České advokátní komoře specializovaného na ochranu osobních údajů, nebo na pověřence pro ochranu osobních údajů (DPO).

Posouzeno právními profesionály. Obsah této stránky a ujednání vzoru DPA byly posouzeny v souladu s GDPR a zákonem č. 110/2019 Sb. České republiky, což zajišťuje právní jistotu pro běžné vztahy správce-zpracovatel v ČR a v rámci EU.

Osm povinných ujednání čl. 28 odst. 3 GDPR

Článek 28 odst. 3 GDPR taxativně vyjmenovává osm ujednání, která musí být v každé DPA uvedena: (a) zpracování pouze na základě doložených pokynů správce, (b) povinnost mlčenlivosti osob oprávněných ke zpracování, (c) přijetí všech opatření podle čl. 32 GDPR (bezpečnost), (d) podmínky pro zapojení sub-zpracovatele dle odst. 2 a 4, (e) pomoc správci při plnění práv subjektů údajů (čl. 15–22), (f) pomoc při plnění povinností podle čl. 32–36 (bezpečnost, oznámení porušení, DPIA, předchozí konzultace), (g) výmaz nebo vrácení údajů po skončení zpracování dle volby správce, (h) zpřístupnění informací nezbytných k auditu a podrobení se auditu. Vynechání byť jediného ujednání může v České republice vést k pokutě od ÚOOÚ podle čl. 83 odst. 4 GDPR (až 10 mil. EUR nebo 2 % celosvětového obratu).

Sub-zpracovatelé — back-to-back odpovědnost

Pokud zpracovatel zapojuje sub-zpracovatele (např. cloud, který běží pod hlavním softwarem zpracovatele), platí v České republice i v EU dvě klíčová pravidla čl. 28 odst. 4 GDPR. Za prvé, sub-zpracovatel musí mít stejné povinnosti jako zpracovatel — back-to-back DPA. Za druhé, zpracovatel zůstává vůči správci plně odpovědný za jednání sub-zpracovatele včetně případných porušení GDPR. Praktický důsledek: pokud správce zjistí únik údajů u sub-zpracovatele cloudu (např. AWS), žaluje primárně svého zpracovatele a tento se pak může regresně domáhat náhrady škody u sub-zpracovatele. ÚOOÚ v ČR pravidelně kontroluje řetězce sub-zpracovatelů, zejména u cloudových služeb provozovaných mimo EU/EHP, kde se kombinuje povinnost čl. 28 GDPR s povinností čl. 44 GDPR pro mezinárodní přenosy.

Oznámení porušení a § 32–34 GDPR

Čl. 33 GDPR ukládá zpracovateli povinnost oznámit správci porušení zabezpečení osobních údajů "bez zbytečného odkladu". V praxi se v České republice DPA zpravidla sjednává konkrétní lhůta — typicky 24 nebo 48 hodin od zjištění incidentu — aby správce stihl splnit svou vlastní 72hodinovou lhůtu pro oznámení Úřadu pro ochranu osobních údajů (ÚOOÚ). Oznámení musí obsahovat povahu porušení, kategorie a počet dotčených subjektů údajů, kontaktní údaje DPO, pravděpodobné důsledky a přijatá opatření (čl. 33 odst. 3 GDPR). Pokud porušení pravděpodobně způsobí vysoké riziko pro práva subjektů, musí být subjekty informovány bez zbytečného odkladu (čl. 34 GDPR). ÚOOÚ v ČR provozuje online formulář pro oznámení porušení a v posledních letech přísně sleduje dodržování 72hodinové lhůty.

Mezinárodní přenosy po Schrems II

Po rozsudku SDEU C-311/18 (Schrems II z července 2020) je přenos osobních údajů z České republiky do USA (a dalších třetích zemí bez rozhodnutí o odpovídající úrovni ochrany) možný pouze za splnění tří podmínek: (1) uzavření Standardních smluvních doložek 2021/914/EU (SCCs) ve znění platném od září 2021, (2) provedení Transfer Impact Assessment (TIA) — analýzy, zda právní řád přijímající země poskytuje úroveň ochrany v zásadě rovnocennou EU, a (3) přijetí dodatečných opatření tam, kde TIA odhalí mezery (typicky šifrování v klidu i v přenosu, pseudonymizace, kontrola přístupových protokolů). U přenosů do USA může být nově využito Data Privacy Framework (DPF) — rozhodnutí Komise 2023/1795 — pokud je americký příjemce certifikován u amerického ministerstva obchodu. ÚOOÚ v ČR kontroluje mezinárodní přenosy zejména u cloudových řešení a marketingových platforem.

Často kladené otázky

Připraveni splnit povinnost dle čl. 28 GDPR?

Vyplňte údaje během několika minut a získejte profesionální DPA v souladu s GDPR a zákonem č. 110/2019 Sb. Zdarma, bez nutnosti zakládat účet pro základní verzi.

Create Your Smlouva o Zpracování Osobních Údajů (DPA)Browse All Templates

Free · Instant PDF · No account required